С помощью правил межсетевого экрана вы можете разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UserGate NGFW. В качестве условий правила могут выступать зоны и IP-адреса источника или назначения, пользователи, группы, сервисы.
События срабатывания правил межсетевого экрана отображаются в журнале трафика (Журналы и отчеты ➜ Журнал трафика) при включении опции Журналирование в параметрах правил.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нем условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки «Выше», «Ниже», «Наверх», «Вниз» или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
ПримечаниеЕсли не создано ни одного правила, то любой транзитный трафик через NGFW запрещен.
В разрешающих правилах межсетевого экрана могут быть использованы профили СОВ или профили приложений (L7), содержащие настроенные наборы сигнатур. После того, как трафик попадает в первое сработавшее разрешающее правило межсетевого экрана, поток данных начинает анализироваться сигнатурами профилей СОВ или L7. При срабатывании сигнатур к трафику применяется действие, настроенное в профиле, и производится соответствующая запись в журналах (в Журнале трафика – для приложений и в Журнале СОВ – для СОВ), если в профилях была включена опция Журналирование.
Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.
Чтобы создать правило межсетевого экрана, перейдите в раздел Настройки ➜ Политики сети ➜ Межсетевой экран,нажмите Добавить и укажите необходимые параметры правила.
Параметр
Описание
Включено
Включение или отключение правила
Название
Название правила
Теги
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги». Опция доступна в версии 7.3.0 и выше
Описание
Описание правила
Действие
Возможные действия правила:
Запретить — блокировать прохождение трафика;
Разрешить — разрешить прохождение трафика
Профиль приложений
Профиль приложений, созданный заранее в разделе Библиотеки ➜Профили приложений.
Профиль приложений содержит набор сигнатур приложений, предназначенный для анализа трафика на 7 уровне модели OSI.
Подробнее о создании и настройке профилей приложений — в разделе «Профили приложений»
Важно! Профиль приложений является дополнительным параметром для активации механизма анализа трафика. Может применяться только в правилах межсетевого экрана с разрешением прохождения трафика.
Профиль СОВ
Профиль СОВ, созданный заранее в разделе Библиотеки ➜Профили СОВ.
Профиль СОВ содержит набор сигнатур, предназначенный для защиты определенных сервисов.
Подробнее о создании и настройке профилей СОВ — в разделе «Профили СОВ»
Важно! Профиль СОВ является дополнительным параметром для активации механизма анализа трафика. Может применяться только в правилах межсетевого экрана с разрешением прохождения трафика.
Отбросить и
Настройка этого параметра доступна для правил, блокирующих трафик (выбрано действие Запретить). Параметр может принимать одно из следующих значений:
Не выбран.
Посылать ICMP host unreachable — блокировка трафика с отправкой ICMP-сообщения.
Посылать TCP reset — блокировка трафика с отправкой сообщения о разрыве TCP-соединения.
Важно! При выборе действия Посылать TCP reset необходимо указание сервиса (вкладка Сервис), использующего протокол TCP.
Посылать TCP reset в обе стороны — блокировка трафика с отправкой сообщения о разрыве TCP-соединения клиенту и серверу
Сценарий
Выбор сценария для срабатывания правила. Подробнее о работе сценариев — в разделе «Сценарии»
Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
Журналирование
Управление записью в журнал информации о трафике при срабатывании правила. Возможные значения параметра:
Журналировать начало сессии. В журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Журналировать каждый пакет. В журнал трафика будет записываться информация о каждом передаваемом сетевом пакете. С этим режимом рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.
Нет. В этом случае информация в журнал не будет записываться
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут UserGate NGFW выполняет разрешение доменных имен в IP-адреса и хранит полученный результат в кэш-памяти на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
условия объединяются по «ИЛИ», если указаны несколько списков IP-адресов или доменов;
условия объединяются по «И», если указаны GeoIP и списки IP-адресов и/или доменов
Пользователи
Указание списка пользователей или групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства»
Назначение
Указание зоны, списков IP-адресов, списков GeoIP-адресов, списков URL назначения трафика.
Списки URL должны включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут UserGate NGFW выполняет разрешение доменных имен в IP-адреса и хранит полученный результат в кэш-памяти на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
условия объединяются по «ИЛИ», если указаны несколько списков IP-адресов или доменов;
условия объединяются по «И», если указаны GeoIP и списки IP-адресов и/или доменов
Сервис
Указание типа сервиса, например, HTTP или HTTPS
Время
Выбор интервала времени, когда правило активно
HIP-профили
Выбор HIP-профилей, созданных в разделе Библиотеки ➜ HIP профили.
HIP-профили содержат набор HIP-объектов и предназначены для проверки соответствия конечного устройства требованиям безопасности (комплаенса).
Подробнее о создании и настройке HIP-профилей — в разделе «HIP профили»
Важно! В случае выключения HIP-профиля, он будет помечен серым цветом, а правило межсетевого экрана продолжит работать без условия проверки комплаенса.
Использование
Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний, таблица срабатываний по приложениям.
Чтобы сбросить счетчик срабатываний, выделите правила в списке и нажмите Сбросить счетчики
История
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. п.
Расширенный поиск в разделе Настройки ➜ Политики сети ➜ Межсетевой экран доступен по следующим параметрам.
Параметр
Описание
enabled
Фильтр по состоянию правил (включены или отключены):
true — показывает только включенные правила;
false — показывает только отключенные правила
pos
Поиск по позиции правила в списке (1, 2 и т. д.)
log
Поиск правила по включенной или выключенной функции журналирования. Возможны следующие значения:
true или enabled — отображение правил, в которых включена функция журналирования (журналировать начало сессии или журналировать все сетевые пакеты).
false или disabled — отображение правил, в которых журналирование отключено.
all — отображение правил, в которых настроено журналирование всех сетевых пакетов.
start — отображение правил, в которых настроено журналирование начала сессии
name
Поиск правил по названию
action
Поиск правил по действию, настроенному в правилах межсетевого экрана:
Разрешить (allow) — разрешает трафик.
Запретить (deny) — блокирует трафик
applicationProfile
Поиск правил межсетевого экрана по указанному при настройке профилю приложений. Поиск производится по правилам с действием «Разрешить»
ipsProfile
Поиск правил межсетевого экрана по указанному при настройке профилю СОВ. Поиск производится по правилам с действием «Разрешить»
zoneSource
Поиск правил по зоне источника трафика
ipSource
Поиск правил по IP-адресу источника трафика.
Адрес должен входить в список IP-адресов, созданный в разделе Настройки ➜ Библиотеки ➜ IP-адреса или в свойствах правила
ipSourceName
Поиск правил по названию IP-листа источника трафика
countrySource
Поиск правил по названию страны источника трафика (Russia, Austria и т. п.). Страна источника может быть добавлена в свойствах правила на вкладке Источник (Добавить GeoIP).
Например, поисковый запрос countrySource = russia отобразит список правил, в которых в качестве страны источника указана Россия (Russia) или GeoIP не указан (т. е. любой GeoIP)
portSource
Поиск правил по порту источника трафика.
Порты, которые используются сервисами, можно настроить в разделе Настройки ➜ Библиотеки ➜ Сервисы
zoneDest
Поиск правил по зоне назначения трафика
ipDest
Поиск правил межсетевого экрана по IP-адресу назначения.
Адрес должен входить в список IP-адресов, созданный в разделе Настройки ➜ Библиотеки ➜ IP-адреса или в свойствах правила
ipDestName
Поиск правил по названию IP-листа назначения трафика
countryDest
Поиск правил по названию страны назначения трафика (Russia, Austria и т. п.). Страна назначения может быть добавлена в свойствах правила на вкладке Назначение (Добавить GeoIP).
Например, поисковый запрос countryDest = russia отобразит список правил, в которых в качестве страны назначения указана Россия (Russia) или GeoIP не указан (т.е. любой GeoIP)
portDest
Поиск правил по порту назначения трафика.
Порты, которые используются сервисами, можно настроить в разделе Настройки ➜ Библиотеки ➜ Сервисы
user
Поиск правил по пользователям, для которых они применяются. Правило может быть применено для следующих типов пользователей:
Unknown — пользователи, не идентифицированные системой.
Known — пользователи, идентифицированные системой с помощью серверов авторизации.
Any — любой пользователь (Known или Unknown).
Определенный пользователь — конкретный пользователь, идентифицированный в системе. Пользователи могут быть созданы локально (локальные пользователи) или получены с внешних каталогов (например, Microsoft Active Directory). При поиске, требующем полного совпадения логина пользователя (c операторами «=» или «!=») также будет производиться поиск по группам пользователей
userId
Поиск правил по ID пользователя; также будут отображены правила, в которых указаны группы пользователя
group
Поиск по группам пользователей, для которых применено правило межсетевого экрана.
Группы пользователей могут быть созданы локально или получены с внешних каталогов (например, Microsoft Active Directory)
groupId
Поиск правила по идентификатору группы пользователей
service
Поиск правила по указанному типу сервиса (например, HTTP или HTTPS)
active
Фильтр по статусу активности правил на момент выполнения запроса:
true — показывает правила, чей интервал активности включает текущее время;
false — показывает правила, чей интервал активности не включает текущее время
Время работы правила может быть задано в свойствах на вкладке Время. Для этого используются календари, которые могут быть созданы и настроены в разделе Настройки ➜ Библиотеки ➜ Календари или в свойствах правила
scenario
Поиск правил по названию сценария, который должен быть активным для срабатывания правила (добавление и настройка сценариев доступна в разделе Настройки ➜ Библиотеки ➜ Сценарии)
description
Поиск правил по описанию правила
ПримечаниеПоисковый запрос не распространятся на правило «Default block». Т. е., даже если поиск правил происходит по запросу action = allow, правило «Default block», настроенное на блокировку трафика, будет отражено в конце списка.
